Festlegen einer täglichen Obergrenze im Log Analytics-Arbeitsbereich
Eine tägliche Obergrenze in einem Log Analytics-Arbeitsbereich ermöglicht es Ihnen, unerwartete Anstiege bei den Gebühren für die Datenerfassung zu vermeiden, indem die Sammlung von abrechenbaren Daten für den Rest des Tages beendet wird, sobald ein angegebener Schwellenwert erreicht wird. In diesem Artikel wird beschrieben, wie die tägliche Obergrenze funktioniert und wie Sie eine in Ihrem Arbeitsbereich konfigurieren.
Wichtig
Sie sollten beim Festlegen einer täglichen Obergrenze sorgfältig vorgehen, da Ihre Fähigkeit, Warnungen zu beobachten und zu empfangen, wenn sich der Integritätszustand Ihrer Ressourcen verschlechtert, beeinträchtigt wird. Dies kann sich auch auf andere Azure-Dienste und -Lösungen auswirken, deren Funktionalität unter Umständen von der Verfügbarkeit aktueller Daten im Arbeitsbereich abhängt. Ihr Ziel sollte nicht sein, den täglichen Grenzwert regelmäßig zu erreichen, sondern ihn als seltene Methode zu verwenden, um ungeplante Gebühren zu vermeiden, die sich aus einem unerwarteten Anstieg des gesammelten Datenvolumens ergeben.
Strategien zum Reduzieren Ihrer Azure Monitor-Kosten finden Sie unter Kostenoptimierung und Azure Monitor.
Erforderliche Berechtigungen
| Aktion | Erforderliche Berechtigungen oder Rollen |
|---|---|
| Festlegen der täglichen Obergrenze für einen Log Analytics-Arbeitsbereich | Microsoft.OperationalInsights/workspaces/write-Berechtigungen für die Log Analytics-Arbeitsbereiche, für die Sie die tägliche Obergrenze festlegen, wie sie z. B. von der integrierten Rolle „Log Analytics-Mitwirkender“ bereitgestellt werden. |
| Festlegen der täglichen Obergrenze für eine klassische Application Insights-Ressource | microsoft.insights/components/CurrentBillingFeatures/write-Berechtigungen für die klassischen Application Insights-Ressourcen, für die Sie die tägliche Obergrenze festlegen, wie sie z. B. von der integrierten Rolle „Mitwirkender der Application Insights-Komponente“ bereitgestellt werden. |
| Erstellen einer Warnung, wenn die tägliche Obergrenze für einen Log Analytics-Arbeitsbereich erreicht ist | microsoft.insights/scheduledqueryrules/write-Berechtigungen, wie sie z. B. von der integrierten Rolle „Überwachungsmitwirkender“ bereitgestellt werden. |
| Erstellen einer Warnung, wenn die tägliche Obergrenze für eine klassische Application Insights-Ressource erreicht ist | microsoft.insights/activitylogalerts/write-Berechtigungen, wie sie z. B. von der integrierten Rolle „Überwachungsmitwirkender“ bereitgestellt werden. |
| Anzeigen der Auswirkung der täglichen Obergrenze | Microsoft.OperationalInsights/workspaces/query/*/read-Berechtigungen für die Log Analytics-Arbeitsbereiche, die Sie abfragen, wie sie z. B. von der integrierten Rolle „Log Analytics-Leser“ bereitgestellt werden. |
Funktionsweise der täglichen Obergrenze
Jeder Arbeitsbereich verfügt über eine tägliche Obergrenze, die seinen eigenen Grenzwert für das Datenvolumen definiert. Wenn die tägliche Obergrenze erreicht wird, wird im oberen Seitenbereich ein Warnbanner für den ausgewählten Log Analytics-Arbeitsbereich im Azure-Portal angezeigt, und an die Tabelle Operation wird unter der Kategorie LogManagement ein Vorgangsereignis gesendet. Sie können optional eine Warnungsregel erstellen, um eine Warnung zu senden, wenn dieses Ereignis erstellt wird.
Die Datensammlung wird zur Zurücksetzungszeit fortgesetzt, die für jeden Arbeitsbereich eine andere Stunde des Tages ist. Diese Zurücksetzungsstunde kann nicht konfiguriert werden. Sie können optional eine Warnungsregel erstellen, um eine Warnung zu senden, wenn dieses Ereignis erstellt wird.
Hinweis
Das Tageslimit kann die Datensammlung nicht so genau wie die angegebene Obergrenze beenden, sodass einige überschüssige Daten zu erwarten sind. Dies gilt insbesondere dann, wenn der Arbeitsbereich große Datenmengen empfängt. Werden Daten über die Obergrenze hinaus gesammelt, werden sie dennoch in Rechnung gestellt. Eine Abfrage, die beim Untersuchen des Verhaltens der täglichen Obergrenze hilfreich ist, finden Sie unter Anzeigen der Auswirkung der täglichen Obergrenze.
Wann sollte eine tägliche Obergrenze verwendet werden?
Tägliche Obergrenzen werden in der Regel von Organisationen verwendet, die besonders kostenbewusst sind. Sie sollten nicht als Methode zur Kostenreduzierung verwendet werden, sondern als präventive Maßnahme, um sicherzustellen, dass Sie ein bestimmtes Budget nicht überschreiten.
Wenn die Datensammlung beendet wird, verfügen Sie effektiv über keine Überwachung von Features und Ressourcen mehr, die auf diesen Arbeitsbereich angewiesen sind. Anstatt sich nur auf die tägliche Obergrenze zu verlassen, können Sie eine Warnungsregel erstellen, die Sie benachrichtigt, wenn die Datensammlung ein bestimmtes Niveau noch unterhalb der täglichen Obergrenze erreicht. Die Benachrichtigung gibt Ihnen die Möglichkeit, Anstiege zu behandeln, bevor die Datensammlung heruntergefahren wird, oder die Sammlung sogar für weniger kritische Ressourcen vorübergehend zu deaktivieren.
Application Insights
Sie sollten die Einstellung für die tägliche Obergrenze sowohl für Application Insights als auch für Log Analytics konfigurieren, um die Menge der von Ihrem Dienst erfassten Telemetriedaten zu begrenzen. Für arbeitsbereichsbasierte Application Insights-Ressourcen ist die effektive tägliche Obergrenze das Minimum der beiden Einstellungen. Für klassische Application Insights-Ressourcen gilt nur die tägliche Application Insights-Obergrenze, da sich ihre Daten nicht in einem Log Analytics-Arbeitsbereich befinden.
Tipp
Wenn Sie wegen der Menge der von Application Insights gesammelten, abrechenbaren Daten Sorgen machen, sollten Sie Sampling (Stichprobenentnahme) so konfigurieren, dass das Datenvolumen auf das gewünschte Niveau abgestimmt wird. Verwenden Sie die tägliche Obergrenze als Sicherheitsmethode für den Fall, dass Ihre Anwendung unerwartet beginnt, weitaus größere Mengen an Telemetriedaten zu senden.
Die Obergrenze für eine klassische Application Insights-Ressource liegt bei 1.000 GB pro Tag – es sei denn, Sie fordern einen höheren Maximalwert für eine Anwendung mit hohem Datenverkehr an. Beim Erstellen einer Ressource im Azure-Portal ist die tägliche Obergrenze auf 100 GB pro Tag festgelegt. Die Standardeinstellung beim Erstellen einer Ressource über Visual Studio ist niedrig (nur 32,3 MB pro Tag). Zur Vereinfachung von Tests ist der Standardwert für die tägliche Obergrenze festgelegt. Es ist vorgesehen, dass der Benutzer vor dem Bereitstellen der App in der Produktion die tägliche Obergrenze erhöht.
Hinweis
Wenn Sie Verbindungszeichenfolgen verwenden, um Daten mithilfe regionaler Erfassungsendpunkte an Application Insights zu senden, sind die Einstellungen für die tägliche Obergrenze für Application Insights und Log Analytics pro Region wirksam. Wenn Sie nur Instrumentierungsschlüssel (ikey) verwenden, um Daten über den globalen Erfassungsendpunkt an Application Insights zu senden, ist die Einstellung für die tägliche Obergrenze von Application Insights möglicherweise nicht regionsübergreifend wirksam, aber die tägliche Log Analytics-Obergrenze gilt weiterhin.
Wir haben die Beschränkung für bestimmte Abonnementtypen entfernt, bei denen Guthaben gewährt wurden, die nicht für Application Insights verwendet werden konnten. Wenn zuvor für das Abonnement ein Ausgabenlimit galt, enthielt das Dialogfeld mit der täglichen Obergrenze Anweisungen, wie das Ausgabenlimit zu entfernen ist und wie die tägliche Obergrenze über 32,3 MB pro Tag erhöht werden kann.
Bestimmen Ihrer täglichen Obergrenze
Informationen zum Ermitteln einer geeigneten täglichen Obergrenze für Ihren Arbeitsbereich sowie grundlegende Informationen zu Ihren Datenerfassungstrends finden Sie unter Azure Monitor: Kosten und Nutzung. Sie können auch Analysieren der Nutzung im Log Analytics-Arbeitsbereich lesen, worin Sie ausführliche Informationen zu Methoden zum Analysieren Ihrer Arbeitsbereichsnutzung finden.
Arbeitsbereiche mit Microsoft Defender für Cloud
Wichtig
Ab dem 18. September 2023 begrenzt Azure Monitor alle abrechenbaren Datentypen,
wenn die tägliche Obergrenze erreicht ist. Es gibt kein spezielles Verhalten für Datentypen, wenn Microsoft Defender for Servers in Ihrem Arbeitsbereich aktiviert ist.
Dank dieser Änderung können Sie die Kosten durch eine höher als erwartete Datenerfassung vollständig eindämmen.
Wenn Sie eine tägliche Obergrenze für einen Arbeitsbereich festgelegt haben, für den Microsoft Defender for Servers aktiviert ist, stellen Sie sicher, dass die Obergrenze für diese Änderung ausreichend hoch ist.
Stellen Sie außerdem sicher, dass Sie eine Benachrichtigung wie unten festlegen, damit Sie benachrichtigt werden, sobald Ihre tägliche Obergrenze erreicht wurde.
Bis zum 18. September 2023 gilt: Wenn für einen Arbeitsbereich die Lösung Microsoft Defender for Servers nach dem 19. Juni 2017 aktiviert wurde, werden einige sicherheitsbezogene Datentypen für Microsoft Defender for Cloud oder Microsoft Sentinel trotz einer täglichen Obergrenze erfasst. Die folgenden Datentypen unterliegen dieser speziellen Ausnahme von der täglichen Obergrenze: WindowsEvent, SecurityAlert, SecurityBaseline, SecurityBaselineSummary, SecurityDetection, SecurityEvent, WindowsFirewall, MaliciousIPCommunication, LinuxAuditLog, SysmonEvent, ProtectionStatus, Update, UpdateSummary, CommonSecurityLog und Syslog
Festlegen der täglichen Obergrenze
Log Analytics-Arbeitsbereich
So legen Sie die tägliche Obergrenze für einen Log Analytics-Arbeitsbereich im Azure-Portal fest oder ändern sie:
- Wählen Sie im Menü Log Analytics-Arbeitsbereiche Ihren Arbeitsbereich aus, und öffnen Sie dann Nutzung und geschätzte Kosten.
- Wählen Sie oben auf der Seite Tageslimit aus.
- Wählen Sie EIN aus, und legen Sie dann das Limit für das Datenvolumen in GB/Tag fest.
Hinweis
Die Zurücksetzungsstunde für den Arbeitsbereich wird angezeigt, kann jedoch nicht konfiguriert werden.
Um die tägliche Obergrenze mit Azure Resource Manager zu konfigurieren, legen Sie den dailyQuotaGb-Parameter unter WorkspaceCapping fest, wie unter Arbeitsbereiche – Erstellen oder Aktualisieren beschrieben.
Klassische Application Insights-Ressource
So legen Sie die tägliche Obergrenze für eine klassische Application Insights-Ressource im Azure-Portal fest oder ändern sie:
- Wählen Sie im Menü Überwachen die Option Anwendungen aus, dann Ihre Anwendung und schließlich Nutzung und geschätzte Kosten.
- Wählen Sie oben auf der Seite Datenobergrenze aus.
- Legen Sie das Limit für das Datenvolumen in GB/Tag fest.
- Wenn eine E-Mail an den Abonnementadministrator gesendet werden soll, wenn der tägliche Grenzwert erreicht wird, wählen Sie diese Option aus.
- Legen Sie die Warnstufe für die tägliche Obergrenze in Prozent des Datenvolumenlimits fest.
- Wenn eine E-Mail an den Abonnementadministrator gesendet werden soll, wenn die Warnstufe für die tägliche Obergrenze erreicht wird, wählen Sie diese Option aus.
Um die tägliche Obergrenze mit Azure Resource Manager zu konfigurieren, legen Sie die Parameter dailyQuota, dailyQuotaResetTime und warningThreshold fest, wie unter Arbeitsbereiche – Erstellen oder Aktualisieren beschrieben.
Warnung bei Erreichen der täglichen Obergrenze
Wenn die tägliche Obergrenze für einen Log Analytics-Arbeitsbereich erreicht wird, wird ein Banner im Azure-Portal angezeigt, und ein Ereignis wird in die Tabelle Vorgänge im Arbeitsbereich geschrieben. Sie sollten eine Warnungsregel erstellen, um Sie proaktiv zu benachrichtigen, wenn dies auftritt.
Um eine Warnung zu erhalten, wenn die tägliche Obergrenze erreicht wird, erstellen Sie eine Warnungsregel für die Protokollsuche mit den folgenden Details.
| Einstellung | Wert |
|---|---|
| Bereich | |
| Zielbereich | Wählen Sie Ihren Log Analytics-Arbeitsbereich aus. |
| Condition | |
| Signaltyp | Log |
| Signalname | Benutzerdefinierte Protokollsuche |
| Abfrage | _LogOperation | where Category =~ "Ingestion" | where Detail contains "OverQuota" |
| Messung | Measure: Tabellenzeilen Aggregationstyp: Count (Anzahl) Aggregationsgranularität: 5 Minuten |
| Warnungslogik | Operator: Größer als Schwellenwert: 0 Häufigkeit der Auswertung: 5 Minuten |
| Aktionen | Wählen Sie eine Aktionsgruppe aus, um Sie zu benachrichtigen, wenn der Schwellenwert überschritten wird, oder fügen Sie eine hinzu. |
| Details | |
| severity | Warnung |
| Name der Warnungsregel | Daily data limit reached |
Klassische Application Insights-Ressource
Wenn die tägliche Obergrenze für eine klassische Application Insights-Ressource erreicht wird, wird ein Ereignis im Azure-Aktivitätsprotokoll mit den folgenden Signalnamen erstellt. Sie können auch optional eine E-Mail an den Abonnementadministrator senden lassen, sowohl wenn die Obergrenze erreicht ist, als auch wenn ein angegebener Prozentsatz der täglichen Obergrenze erreicht wurde.
- Warnungsschwellenwert für Tageslimit der Application Insights-Komponente erreicht
- Tageslimit für Application Insights-Komponente erreicht
Um eine Warnung zu erstellen, wenn die tägliche Obergrenze erreicht wird, erstellen Sie eine Aktivitätsprotokoll-Benachrichtigungsregel mit den folgenden Details.
| Einstellung | Wert |
|---|---|
| Bereich | |
| Zielbereich | Wählen Sie Ihre Anwendung aus. |
| Condition | |
| Signaltyp | Aktivitätsprotokoll |
| Signalname | Tageslimit für Application Insights-Komponente erreicht oder Warnungsschwellenwert für Tageslimit der Application Insights-Komponente erreicht |
| severity | Warnung |
| Name der Warnungsregel | Daily data limit reached |
Anzeigen der Auswirkung der täglichen Obergrenze
Mithilfe der folgenden Abfrage können Sie die Datenmengen, die der täglichen Obergrenze für einen Log Analytics-Arbeitsbereich unterliegen, zwischen den Zurücksetzungen der täglichen Obergrenze nachverfolgen. In diesem Beispiel ist die Zurücksetzungsstunde für den Arbeitsbereich 14:00. Ändern Sie DailyCapResetHour so, dass der Wert dem Zeitpunkt entspricht, an dem Ihr Arbeitsbereich zurückgesetzt wird. Dies können Sie auf der Konfigurationsseite für die tägliche Obergrenze einsehen.
let DailyCapResetHour=14;
Usage
| where TimeGenerated > ago(32d)
| extend StartTime=datetime_add("hour",-1*DailyCapResetHour,StartTime)
| where StartTime > startofday(ago(31d))
| where IsBillable
| summarize IngestedGbBetweenDailyCapResets=sum(Quantity)/1000. by day=bin(StartTime , 1d) // Quantity in units of MB
| render areachart
Fügen Sie die Datentypen Update und UpdateSummary zur Zeile where Datatype hinzu, wenn die Updateverwaltung-Lösung nicht im Arbeitsbereich ausgeführt wird oder die Zielgruppenadressierung für Lösungen aktiviert ist (weitere Informationen).
Nächste Schritte
- Unter Azure Monitor-Protokolle: Preise finden Sie Informationen dazu, wie die Gebühren für Daten in einem Log Analytics-Arbeitsbereich berechnet werden, sowie verschiedene Konfigurationsoptionen zur Reduzierung Ihrer Gebühren.
- Unter Azure Monitor-Protokolle: Preise finden Sie Informationen dazu, wie die Gebühren für Daten in einem Log Analytics-Arbeitsbereich berechnet werden, sowie verschiedene Konfigurationsoptionen zur Reduzierung Ihrer Gebühren.
- Unter Analysieren der Nutzung im Log Analytics-Arbeitsbereich finden Sie Einzelheiten zur Analyse der Daten in Ihrem Arbeitsbereich, um die Ursache für eine unerwartet hohe Nutzung zu ermitteln und Möglichkeiten zur Reduzierung der erfassten Datenmenge zu nutzen.